Silverfort 的研究发现,用于禁用过时的 NTLMv1 身份验证协议的组策略机制中存在一个重大漏洞。尽管企业普遍使用 Active Directory 策略阻止 NTLMv1,但错误配置允许攻击者绕过这一保护措施,给仍然依赖传统身份验证系统的企业带来了严重风险。
NTLMv1 已被微软弃用,并被认为非常不安全,但它仍然普遍存在。Silverfort 发现,64% 的 Active Directory 用户账户仍在使用 NTLM 身份验证协议。通过 Netlogon 远程过程调用(RPC)接口的 ParameterControl 字段中的特定标志,可以绕过旨在阻止 NTLMv1 的组策略。研究人员证明,请求 NTLMv1 身份验证的应用程序仍然可以触发域控制器验证这些请求。
西尔弗福特强调说:“企业认为他们设置这个组策略是正确的,但它仍然被配置错误的应用程序绕过了。”
绕过 NTLMv1 组策略 | 源: Silverfort
这一疏忽具有重大影响:
- 凭证窃取: 攻击者可以拦截 NTLMv1 流量并执行离线破解以获取凭证。
- 横向移动: 被破坏的账户可用于提升权限和在网络中横向移动。
- 虚假安全感: 仅仅依靠组策略来阻止 NTLMv1 的企业可能会低估自己的脆弱性。
在 Silverfort 于 2024 年 9 月披露漏洞后,微软宣布从 Windows 11 版本 24H2 和 Windows Server 2025 开始全面删除 NTLMv1。虽然微软没有将绕过归类为漏洞,但这一步骤强调了他们对认证标准现代化的承诺。
Silverfort 为企业提供了以下建议,以降低 NTLMv1 风险:
- 审计 NTLM 使用情况: 启用日志以识别域内的所有 NTLM 身份验证。
- 映射应用程序: 识别并记录依赖 NTLMv1 的应用程序,包括后备方案。
- 检测漏洞: 使用工具精确定位请求 NTLMv1 消息的应用程序。
- 实施现代身份验证: 尽可能过渡到 Kerberos 或单点登录 (SSO) 等协议。
NTLMv1 的漏洞长期以来一直被攻击者利用进行中继攻击、凭证窃取和中间人攻击。虽然 NTLMv2 有了重大改进,但传统应用程序和非 Windows 客户端仍然为滥用打开了通道。Silverfort 警告说:“在应用程序无法配置为使用 NTLMv1 进行身份验证之前,这个问题将一直存在。”
发表评论
您还未登录,请先登录。
登录